Upload
sandro-fontana
View
305
Download
1
Embed Size (px)
DESCRIPTION
non basta più difenderci dgli attacchi esterni; la grande minaccia proviene dai nostri sistemi
Citation preview
Forum ICT Security
Sandro Fontana, CISSP
CEO Secure Edge
[email protected]@computer.org
Roma 4 Novembre 2003
Premessa
Ich Sunt Leones/1
Ich Sunt Leones/2
Internet
Router(multiport/
multiprotocol)
Dial inServers
TELCO
PartnerOffices
FrameRelay
Network
Remote router
Laptop PCsRemote Router
Remote Hub
UNIX Server
NFS GatewayNovel
File Server
Hub
CentralRouter
(multiport/multiprotocol
Hub
Hub
GroupwareServerOffices
Hub
PCs
Hub
Hub
PCs
Windows NTServer
GroupwareServerOffices
PCs
PCs
PCs
Windows NTServer
PCs
Email/SharedFile Server PCs
Firewall / AV / Proxy
Firewall / RAS / AV / Proxy
Ich Sunt Leones/3
Internet
Router(multiport/
multiprotocol)
Dial inServers
TELCO
PartnerOffices
FrameRelay
Network
Remote router
Laptop PCsRemote Router
Remote Hub
UNIX Server
NFS GatewayNovel
File Server
Hub
CentralRouter
(multiport/multiprotocol
Hub
Hub
GroupwareServerOffices
Hub
PCs
Hub
Hub
PCs
Windows NTServer
GroupwareServerOffices
PCs
PCs
PCs
Windows NTServer
PCs
Email/SharedFile Server PCs
Firewall / AV / Proxy
Firewall / RAS / AV / Proxy
the speed of insecurity/1
“security works in an era of (computer) wormsthat can spread across the Internet
in 10 minutes”(Bruce Schneier - IEEE S&P, July/August 2003)
the speed of insecurity/2
change viewpoint
non si tratta più soltantodi difendere i computer presenti nella rete aziendale
da attacchi provenienti dall’esterno
change viewpoint
non si tratta più soltantodi difendere i computer presenti nella rete aziendale
da attacchi provenienti dall’esterno
bisogna inoltre
difendere l’Enterprise Network da eventuali attacchi provenienti dalle stazioni di lavoro e dai server interni.
the missing link
Nuova responsabilità:proteggere l’Intranet
dagli attacchi provenienti da computerattestati all’interno della stessa rete aziendale(*)
(Chief Security Officer)
Irrobustire
Identificare
Controllare
Contrastare Rilevare
(*) (garantendo l’attuale flessibilità)
Mai dimenticare che …
“la sicurezza è un processo,non è un prodotto”
(Bruce Schneier)
Goals
ogni server deve poter qualificare la fonte del traffico di rete in ingresso
Request Verification
Worm confinement
CentralManagement
un Client od un Server, anche se compromesso, non deve divenire la fonte di ulteriore infezione all’interno dell’Azienda;
la gestione delle contromisure deve essere centralizzata
Una proposta
Essential Point
• Policy
• Requirements
• Management
• Tools
Secure Edge vede un percorso progettualeinserito all’interno del sistema di gestione della sicurezza
ad es. l’ISMS della ISO/IEC 17799
PolicyPer potere accedere alla intranet ed alle sue risorse ogni macchina, sia Clientche Server ed ogni Utente, deve essere autorizzato
NetAccess
Verification il parco dei Client e Server installato ed attivo, deve essere tenuto sotto controllo, senza necessità di gestione IP address e/o ethernet address
ogni utente deve essere identificato ed autenticato con meccanismo forte
Effective RT-IDS Ogni violazione alle regole precedenti deve poter essere rilevata in tempo reale
IdentificationAuthentication
Requirements
Accesso alla intranet controllato tramite:Identificazione certa dei Client e Server connessiAutenticazione forte degli utentifirewall distribuito
Profilo di accesso specializzato per ruolo
Network Single SignOn®
Consolidamento centralizzato dei log
Audit in tempo reale sugli eventi rilevanti
Management
Operation Manager controlla in tempo reale, lo stato delle singole macchine e dei singoli utentiattiva e gestisce gli alert, analizza i log provenienti dal parco macchine interno
Policy Manager il responsabile della definizione dei profili e delle regole che devono essere applicate ai gruppi di macchine (client e server) ed ai ruoli aziendali (users)
Tools
Secure Edge
PcP Enterprise Edition
Gli strumenti/1
è il cuore informativo del sistema;raccoglie tutti i dati dell’ambiente PcP Enterprise Edition :
– licenze Client e Server– ruoli aziendali– profili utenti– certificati di chiave pubblica di tutti gli attori
coinvolti– regole di firewalling– log globali di tutte le macchine controllate– heart_beat in tempo reale
PcP-EE_DB(RDBMS)
Gli strumenti/2
permette al Policy Manager la definizione di:– gruppi di macchine: Client/Server– ruoli aziendali– profili– regole di firewalling
Policy Management Tool(software client)
Lavora in localecon aggiornamento del PcP-EE_DB on demand
Gli strumenti/3
Monitor Console
E’ l’interfaccia web al PcP-EE_ DB chepermette all’Operation Manager:
• l’interrogazione, l’elaborazione e la presentazionedelle informazioni generate dai software PcP-EE in esercizio
su tutte le macchine Client/Server Windows all’interno dell’Azienda;• la configurabilità e la gestione di allarmi
• la memorizzazione di query ricorrenti
Gli strumenti/4
– autenticare le licenze PcP-EE ed i singoli Users;– distribuire le Policy per i Server ed i Client oltre
che le policy specifiche per lo User;– acquisire i log dalle varie stazioni ed i pacchetti
informativi (heart beat) relativi al traffico di rete dei singoli sistemi
– aggiornare PcP-EE_ DB centrale
Policy Serverè un servizio presente su uno o più sistemi all’interno dell’azienda
permette di:
Distribuited Security Agent
questo software assolve una serie di compiti
é presente su ogni client ed ogni server aziendalecon sistema operativo Microsoft
Gli Strumenti/5
PcP-EE: duty/1
ogni macchina viene associata ad una licenza PcP-EE
un utente che voglia lavorare su una macchinaviene prima identificato ed autorizzato,
quindi le regole di firewalling ed il profilo di protezione associato al ruolo che l’utente, in quel momento, incarna in azienda
sono calate sulla macchina su cui opera
ad ogni macchina vengono assegnate specifiche regole di firewalling
ed il profilo di protezione del gruppo a cui la macchina appartiene
PcP-EE: duty/2
il traffico di rete viene bloccato/abilitato,così come viene indicato dalle regole di firewalling
dichiara la propria esistenza in vitatramite pacchetti statistici
che fungono da HeartBeat per PcP-EE stesso
viene generato il log relativo al matching delle regole di firewalling,se questa funzione è richiesta per queste regole
Riepilogo
Policy ServerPolicy Server
PcP-EE_DB
OperationManager
Policy Manager
Policy Server
Policy Server
per concludere …
“la sicurezza è un processo,non è un prodotto”
(Bruce Schneier)
Exit